GN⁺: 인터넷 서비스의 KYC 요구사항에 대한 4일간의 이의제기 기간
(federalregister.gov)IaaS 제공자의 고객 식별 프로그램 및 면제 관련 규정 요약
- 모든 미국 IaaS 제공자는 반드시 최소한의 요구사항을 충족하는 서면 고객 식별 프로그램(CIP)을 수립하고 이행해야 함
- CIP에는 고객 및 실소유자 식별 정보 수집, 외국인 고객 및 실소유자 신원 확인, 정보 보관, 정보 공개 관련 고객 통지 등의 절차가 포함되어야 함
- IaaS 제공자는 잠재 외국인 고객과 실소유자로부터 최소한 이름, 주소, 계정 결제 수단/출처, 이메일, 전화번호, IP 주소 등의 정보를 수집해야 함
- IaaS 제공자는 문서 또는 비문서 방식으로 외국인 고객과 실소유자의 신원을 확인하는 위험 기반 절차를 수립해야 함
- 고객 신원을 확인할 수 없는 상황에 대한 대응 절차도 CIP에 포함되어야 함
- 고객 정보 확인 과정에서 얻은 모든 정보의 기록을 최소 2년간 안전하게 보관하고, 제3자 접근을 제한하는 절차를 마련해야 함
- IaaS 제공자는 외국 리셀러에게도 CIP 유지와 이행을 요구하고, 리셀러의 CIP 사본을 요청시 10일 이내 상무부에 제공해야 함
- 미준수 외국 리셀러와의 거래는 30일 이내 중단해야 함
CIP 보고 요건 요약
- 모든 IaaS 제공자는 자사와 외국 리셀러의 CIP 이행을 상무부에 통보하기 위해 CIP 인증 양식을 제출해야 함
- 매년 CIP를 검토하고 업데이트하여 재인증해야 하며, 중간에 중대한 변경사항이 있을 경우 상무부에 통보해야 함
- 새로운 IaaS 제공자는 서비스 제공 전에 CIP 인증 양식을 제출하고, 새 외국 리셀러 추가시에도 통보해야 함
- 외국 리셀러로부터 CIP 정보를 수집하여 매년 상무부에 제출해야 함
CIP 준수 평가 요약
- 상무부는 IaaS 제공자의 CIP 사본을 요청하여 검사할 수 있으며, 미흡한 부분을 시정하도록 통보할 수 있음
- 상무부는 자체 평가나 IaaS 제공자 제출 정보 등을 바탕으로 위험도를 평가하고 준수 평가를 수행함
- 준법감시 결과에 따라 위험 완화 조치나 특별 조치 등을 권고할 수 있음
CIP 면제 규정 요약
- 상무부 장관은 IaaS 제공자, 계정 유형, 임차인, 외국 리셀러 등에 대해 CIP 요건 준수 면제를 부여할 수 있음
- IaaS 제공자는 IaaS 제품 악용 방지 프로그램(ADP) 수립을 통해 CIP 요건 면제를 신청할 수 있음
- ADP에는 위험 지표 식별, 탐지, 대응, 정기 업데이트 등의 정책과 절차가 포함되어야 함
- 면제 유지를 위해 ADP 변경사항을 상무부에 매년 통보해야 하며, 면제는 언제든 취소될 수 있음
특정 국가나 외국인에 대한 특별 조치 요약
- 상무부 장관은 특정 국가나 외국인이 미국 IaaS 제품을 악용한 사이버 활동에 연루되었다고 판단되면 특별 조치를 부과할 수 있음
- 해당 국가 내 외국인의 계정 개설을 금지하거나 조건을 부과하는 조치, 특정 외국인의 계정 개설을 금지하거나 제한하는 조치 등이 있음
- 특별 조치 부과 여부와 종류는 관련 요인을 종합적으로 평가하여 결정함
대규모 AI 모델 학습 보고 요건 요약
- IaaS 제공자는 외국인의 악의적 사이버 활동에 악용될 수 있는 대규모 AI 모델 학습 거래를 인지한 경우 15일 이내에 상무부에 보고해야 함
- 외국 리셀러도 동일한 보고 의무가 있으며, IaaS 제공자는 이를 30일 이내에 상무부에 제출해야 함
- 상무부 요청시 15일 이내에 추가 정보를 제공하는 후속 보고서를 제출해야 함
- 오류 발견시 15일 이내에 수정 보고서를 제출해야 함
- 보고서에는 외국인 고객 정보, 학습 관련 정보 등이 포함되어야 함
- IaaS 제공자는 외국 리셀러가 이 요건을 준수하도록 합당한 노력을 기울여야 함
규정 위반에 대한 집행 요약
- 금지 행위에는 CIP 미수립/미유지, 리셀러 CIP 미준수, 대규모 AI 모델 학습 금지/정지 미이행 등이 있음
- 상무부에 허위 진술을 하는 것도 위반 행위에 해당함
- IEEPA에 따라 건당 최대 25만 달러 또는 위반 거래액의 2배 중 큰 금액의 민사 제재금이 부과될 수 있음
- 고의 위반시에는 최대 100만 달러 벌금이나 20년 이하 징역형에 처해질 수 있음
- 이 외에도 미국법에 따른 다른 민사/형사 처벌이 가능함
GN⁺의 의견
이 규정은 미국 IaaS 제공자들에게 외국인 고객 식별과 검증을 의무화하여 악의적인 사이버 활동에 악용되는 것을 방지하려는 목적으로 보입니다. 특히 대규모 AI 모델 학습에 IaaS가 사용되는 것에 대한 우려도 반영된 것 같네요.
IaaS 제공자 입장에서는 고객 정보 수집과 검증, 기록 보관 등의 부담이 커질 것 같습니다. 외국 고객 확인이 쉽지 않을 수 있고, 프라이버시 이슈도 예상됩니다. 외국 리셀러와의 계약 관계도 영향을 받겠죠.
한편 정부는 이를 통해 IaaS 시장에 대한 통제력을 높이고 국가안보 위협을 차단하려 하는 것으로 보입니다. 특정 국가나 행위자를 타겟으로 한 특별 조치 조항이 눈에 띄는데, 지정학적 갈등을 반영한 것 같습니다.
대규모 AI 모델 관련 조항은 AI의 이중용도성에 대한 인식이 높아진 결과로 보입니다. 정부가 IaaS를 통한 AI 개발 활동을 감시하려는 의도가 엿보이네요. 기술 발전에 따른 새로운 위험에 대응하려는 시도로 해석됩니다.
이 규정은 국가안보와 기술혁신 간의 균형을 모색하는 과정으로 보입니다. IaaS 제공자들에겐 부담이겠지만, 장기적으로는 시장의 건전성과 신뢰도 향상에 기여할 수 있을 것 같습니다. 다만 과도한 규제로 인한 혁신 저해 우려도 있어 신중한 이행이 필요해 보입니다.
Hacker News 의견
- 이 법안은 IaaS(인프라) 제공자들이 AI 훈련에 자신들의 서비스를 사용하는 사람들의 신원을 확인하도록 요구하는 것으로 보임. 제재 대상이거나 악의적인 행위자들이 AI를 훈련시키고, 서비스 간 이동하거나 가명을 사용하여 모델 훈련을 계속하는 것을 막으려는 시도임.
- 이는 다소 무해해 보이며, HN 토론에서 다른 사람들이 만드는 유사점을 이해하기 어려움. 미끄러운 경사로인지, 아니면 법안의 범위에 대해 순진한 것인지 의문임.
- IaaS 제공자들이 격렬히 반대할 것이며, AWS가 KYC 문서를 요구하기 시작하면 즉시 모든 클라우드 리소스를 다른 곳으로 이전할 것임. 이를 위한 노력은 거의 없음.
- KYC는 "고객 알기(know your customer)"를 의미함. 약어를 처음 사용할 때는 풀어 쓰는 것이 좋음. 특히 연결된 기사에 약어 자체가 사용되지 않았기 때문임. 또한 이 제안은 일반적인 "인터넷 서비스"가 아닌 미국 IaaS 제품에 대한 것임을 주목할 가치가 있음.
- 만약 은행들이 그들의 고객을 안다면, 우리는 그럴 필요가 없음. KYC의 길은 항상 지불과 금융으로 이어짐. 우리가 표준 은행 카드 거래나 송금 등으로 서비스 대금을 받아들인다면, 고객에 대한 인지는 은행에서 중앙 집중화될 수 있음.
- KYC 요구 사항을 점점 더 많은 온라인 서비스에 추가하는 추세가 걱정됨. KYC는 서비스를 제공하려는 사람에게 큰 부담을 줌.
- KYC 시스템은 범죄자를 잘 걸러내지 못하는 경향이 있음. 대부분의 KYC 시스템은 데이터 집계자(개인 데이터를 구매하는 사람)에 의존하며, 젊거나 가난하거나 프라이버시를 중시하는 사람은 의심을 받게 됨.